Akkor éri támadás a magyar vállalkozókat, mikor a legkevésbé számítanak rá: pikk-pakk kész a baj

Átlagosan kevesebb mint egy napba – körülbelül 16 órába – tartott, mire a támadók elérték az Active Directory-t (AD), amely a vállalat egyik legkritikusabb eszköze. Az AD általában egy szervezeten belül az azonosítást és az erőforrásokhoz való hozzáférést kezeli, ami azt jelenti, hogy a támadók az AD-t használva könnyedén kiterjeszthetik jogosultságaikat a rendszeren, és számos káros célú tevékenységet hajthatnak végre.

"A szervezet Active Directory infrastruktúrájának megtámadása offenzív szemszögből logikus. Az AD általában a hálózat legerősebb és legmagasabb jogosultságú rendszere, amely széles körű hozzáférést biztosít azokhoz a rendszerekhez, alkalmazásokhoz, erőforrásokhoz és adatokhoz, amelyeket a támadók kihasználhatnak támadásaik során. Amikor egy támadó irányítja az AD-t, irányíthatja a szervezetet. Amiért célozzák az Active Directoryt a támadások során:a a hatás, az eszkaláció, illetve a helyreállítás költsége,” mondta John Shier, a Sophos field CTO-ja.

“A domain kompromittállódása utáni teljes helyreállítás hosszadalmas és fáradtságos munka lehet. Egy ilyen támadás megkárosítja a biztonsági alapokat, amelyre a szervezet infrastruktúrája támaszkodik. Egy sikeres AD-támadás nagyon gyakran azt jelenti, hogy a biztonsági csapatnak nulláról kell újrakezdeni.”

A zsarolóvírus-támadásoknál a “dwell time”, a hálózaton töltött idő szintén csökkent. Ez volt a leggyakoribb támadástípus az elemzett IR-esetek között: a vizsgált esetek 69%-át tette ki. A tartózkodási idő átlaga mindössze 5 nap volt ezeknél a támadásoknál. A zsarolóvírus-támadások 81%-ában a végső payloadot a hagyományos munkaidőn kívül indították el, a munkaidőben indítottak közül pedig mindössze 5 esetnél történt hétköznap.

Az észlelt támadások száma a hét előrehaladtával nőtt, leginkább a zsarolóvírus-támadások vizsgálatakor. A zsarolóvírus-támadások közel felét (43%) pénteken vagy szombaton észlelték.

„Bizonyos szempontból saját sikereink áldozatai lettünk. Az olyan technológiák elterjedésével, mint az XDR és az olyan szolgáltatások, mint az MDR, egyre gyorsabban észleljük a támadásokat. Az észlelési idők csökkentése gyorsabb válaszadáshoz vezet, ami rövidebb cselekvési időt jelent a támadók számára. Ugyanakkor a bűnözők finomították, csiszolgatták a módszereiket, különösen a tapasztalt és jó erőforrásokkal bíró zsarolóvírus-támadók, akik továbbra is gyorsítják a zajos támadásaikat a jobb védelem mellett.

De ez nem jelenti, hogy kollektíven nagyobb biztonságban lennénk. Ezt bizonyítja a kiegyenlítődés a nem-zsarolóvírus-es tartózkodási időknél. A támadók még mindig bejutnak a hálózatainkba, és ha nem sürgős a helyzet, hajlamosak ott elidőzni. De a világ összes eszköze sem tud megmenteni, ha nem figyelsz oda. Megfelelő eszközökre és folyamatos, proaktív megfigyelésre egyaránt szükség van ahhoz, hogy a bűnözőknek rosszabb legyen a napja, mint neked. Ez az a pont, ahol az MDR valóban csökkentheti a szakadékot a támadók és a védők között.

A “Sophos Active Adversary Report for Business Leaders” jelentés a Sophos Incident Response (IR) adatain alapul, amelyek 2023 januárja és júliusa közötti vizsgálatokból származnak, 25 szektorból, szerte a világból. A megcélzott szervezetek 6 kontinens 33 országában működnek. Az esetek 88 százaléka 1000 főnél kevesebb alkalmazottat foglalkoztató szervezetektől származott.